Verwenden kundenseitig verwalteter Schlüssel in Azure Key Vault für den Import/Export-Dienst

Azure Import/Export schützt die BitLocker-Schlüssel, die zum Sperren der Laufwerke verwendet werden, mit einem Verschlüsselungsschlüssel. Standardmäßig werden BitLocker-Schlüssel mit von Microsoft verwalteten Schlüsseln verschlüsselt. Um zusätzliche Kontrolle über die Verschlüsselungsschlüssel zu erhalten, können Sie auch kundenseitig verwaltete Schlüssel bereitstellen.

Kundenseitig verwaltete Schlüssel müssen in Azure Key Vault erstellt und gespeichert werden. Weitere Informationen zum Azure-Schlüsseltresor finden Sie unter Was ist der Azure-Schlüsseltresor?

In diesem Artikel wird gezeigt, wie Sie kundenseitig verwaltete Schlüssel mit dem Import/Export-Dienst im Azure-Portal verwenden.

Voraussetzungen

Stellen Sie Folgendes sicher, bevor Sie beginnen:

  1. Sie haben einen Import- oder Exportauftrag gemäß den Anleitungen in folgenden Artikeln erstellt:

  2. Sie verfügen über eine vorhandene Azure Key Vault-Instanz mit einem Schlüssel, den Sie zum Schützen Ihres BitLocker-Schlüssels verwenden können. Informationen zum Erstellen eines Schlüsseltresors über das Azure-Portal finden Sie unter Schnellstart: Erstellen Sie eine Azure Key Vault-Instanz mithilfe des Azure-Portals.

    • Für Ihre vorhandene Key Vault-Instanz ist Vorläufiges Löschen und Nicht bereinigen festgelegt. Diese Eigenschaften sind standardmäßig nicht aktiviert. Informationen zum Aktivieren dieser Eigenschaften finden Sie in den Abschnitten Aktivieren des vorläufigen Löschens und Aktivieren des Bereinigungsschutzes in einem der folgenden Artikel:

    • Der vorhandene Schlüsseltresor muss über einen RSA-Schlüssel mit einer Größe von mindestens 2048 verfügen. Weitere Informationen über Schlüssel finden Sie unter Informationen zu Schlüsseln.

    • Der Schlüsseltresor muss sich in derselben Region wie das Speicherkonto für Ihre Daten befinden.

    • Wenn Sie noch nicht über eine Azure Key Vault-Instanz verfügen, können Sie diese auch inline erstellen, wie im folgenden Abschnitt beschrieben.

Aktivieren von Schlüsseln

Das Konfigurieren eines kundenseitig verwalteten Schlüssels für den Import/Export-Dienst ist optional. Standardmäßig verwendet der Import/Export-Dienst einen von Microsoft verwalteten Schlüssel zum Schützen des BitLocker-Schlüssels. Um vom Kunden verwaltete Schlüssel im Azure-Portal zu aktivieren, gehen Sie folgendermaßen vor:

  1. Navigieren Sie zum Blatt Übersicht für Ihren Importauftrag.

  2. Wählen Sie im rechten Bereich die Option Wählen Sie aus, wie Ihre BitLocker-Schlüssel verschlüsselt werden.

    Screenshot des Übersicht-Blades für Azure-Import/Exportauftrag. Das Menüelement Übersicht und der Link zum Öffnen der BitLocker-Schlüsseloptionen sind hervorgehoben.

  3. Auf dem Blatt Verschlüsselung können Sie den BitLocker-Schlüssel des Geräts anzeigen und kopieren. Unter Verschlüsselungstyp können Sie auswählen, wie Sie den BitLocker-Schlüssel schützen möchten. Standardmäßig wird ein von Microsoft verwalteter Schlüssel verwendet.

    Screenshot des Verschlüsselung-Blades für einen Azure-Import/Exportauftrag. Das Menüelement Verschlüsselung ist hervorgehoben.

  4. Sie haben die Möglichkeit, einen kundenseitig verwalteten Schlüssel anzugeben. Nachdem Sie den kundenseitig verwalteten Schlüssel ausgewählt haben, wählen Sie die Option Schlüsseltresor und Schlüssel auswählen aus.

    Screenshot des Verschlüsselung-Blades für Azure-Import/Exportauftrag. „Kundenseitig verwalteter Schlüssel“ ist ausgewählt. Der Link zu „Schlüssel und Schlüsseltresor auswählen“ ist hervorgehoben.

  5. Auf dem Blatt Schlüssel aus Azure Key Vault auswählen wird das Abonnementfeld automatisch aufgefüllt. Für Schlüsseltresor können Sie einen vorhandenen Schlüsseltresor aus der Dropdownliste auswählen.

    Screenshot des Bildschirms „Schlüssel aus Azure Key Vault auswählen“. Der Link „Neu erstellen“ für Schlüsseltresor ist hervorgehoben.

  6. Sie können auch Neu erstellen auswählen, um einen neuen Schlüsseltresor zu erstellen. Geben Sie auf dem Blatt Schlüsseltresor erstellen die Ressourcengruppe und den Namen des Schlüsseltresors ein. Behalten Sie alle anderen Standardeinstellungen bei. Klicken Sie auf Überprüfen + erstellen.

    Screenshot des Bildschirms „Schlüsseltresor erstellen“ für Azure Key Vault mit Beispieleinstellungen. Die Schaltfläche Überprüfen und Erstellen ist hervorgehoben.

  7. Überprüfen Sie die Informationen im Zusammenhang mit Ihrem Schlüsseltresor, und wählen Sie Erstellen aus. Warten Sie einige Minuten, bis die Erstellung des Schlüsseltresors abgeschlossen ist.

    Screenshot des Bildschirms „Überprüfen plus Erstellen“ für einen neuen Azure-Schlüsseltresor. Die Schaltfläche Erstellen ist hervorgehoben.

  8. Unter Schlüssel aus Azure Key Vault auswählen können Sie einen Schlüssel im vorhandenen Schlüsseltresor auswählen.

  9. Wenn Sie einen neuen Schlüsseltresor erstellt haben, wählen Sie Neu erstellen aus, um einen Schlüssel zu erstellen. Der RSA-Schlüssel kann eine Größe von 2048 oder mehr haben.

    Screenshot des Bildschirms „Schlüssel aus Azure Key Vault auswählen“. Die Schaltfläche „Neu erstellen“ für die Schlüsseloption ist hervorgehoben.

    Wenn das vorläufige Löschen und der Bereinigungsschutz beim Erstellen des Schlüsseltresors nicht aktiviert wurden, wird der Schlüsseltresor so aktualisiert, dass vorläufiges Löschen und Bereinigungsschutz aktiviert sind.

  10. Geben Sie den Namen für Ihren Schlüssel an, behalten Sie ansonsten die Standardeinstellungen bei, und wählen Sie Erstellen aus.

    Screenshot des Bildschirms „Erstellen eines Schlüssels“ für Azure Key Vault. Die Schaltfläche „Erstellen“ ist hervorgehoben.

  11. Wählen Sie die Version und dann Auswählen aus. Sie werden benachrichtigt, dass ein Schlüssel in Ihrem Schlüsseltresor erstellt wurde.

    Screenshot des Bildschirms „Schlüssel aus Azure Key Vault auswählen“. Die Schaltfläche „Neu erstellen“ für die Schlüsseloption ist hervorgehoben.

Auf dem Blatt Verschlüsselung werden der Schlüsseltresor und der Schlüssel angezeigt, der als kundenseitig verwalteter Schlüssel ausgewählt wurde.

Wichtig

Sie können in jeder Phase des Import-/Exportauftrags lediglich von Microsoft verwaltete Schlüssel deaktivieren und zu kundenseitig verwalteten Schlüsseln wechseln. Den kundenseitig verwalteten Schlüssel können Sie nach der Erstellung jedoch nicht deaktivieren.

Beheben von Fehlern beim kundenseitig verwalteten Schlüssel

Wenn Ihnen Fehler im Zusammenhang mit dem kundenseitig verwalteten Schlüssel angezeigt werden, verwenden Sie zur Problembehandlung die folgende Tabelle:

Fehlercode Details Wiederherstellbar?
CmkErrorAccessRevoked Der Zugriff auf den kundenseitig verwalteten Schlüssel wird aufgehoben. Ja. Überprüfen Sie Folgendes:
  1. Der Schlüsseltresor verfügt weiterhin über die MSI in der Zugriffsrichtlinie.
  2. In der Zugriffsrichtlinie sind die Berechtigungen „Get“, „Wrap“ und „Unwrap“ aktiviert.
  3. Wenn sich der Schlüsseltresor in einem VNET hinter der Firewall befindet, überprüfen Sie, ob Vertrauenswürdige Microsoft-Dienste zulassen aktiviert ist.
  4. Überprüfen Sie, ob die MSI der Auftragsressource mithilfe von APIs auf None zurückgesetzt wurde.
    Wenn dies der Fall ist, legen Sie den Wert erneut auf Identity = SystemAssigned fest. Dadurch wird die Identität für die Auftragsressource neu erstellt.
    Nachdem die neue Identität erstellt wurde, gewähren Sie der neuen Identität in der Zugriffsrichtlinie des Schlüsseltresors die Berechtigungen Get, Wrap und Unwrap.
CmkErrorKeyDisabled Der kundenseitig verwaltete Schlüssel ist deaktiviert. Ja, durch Aktivieren der Schlüsselversion
CmkErrorKeyNotFound Der kundenseitig verwaltete Schlüssel wurde nicht gefunden. Ja, wenn der Schlüssel noch innerhalb der Bereinigungsdauer gelöscht wurde, mithilfe von Entfernen des Schlüssels des Schlüsseltresors rückgängig machen.
Ansonsten:
  1. Ja, wenn der Kunde den Schlüssel gesichert hat und ihn wiederherstellt.
  2. Andernfalls nein.
CmkErrorVaultNotFound Der Schlüsseltresor des kundenseitig verwalteten Schlüssels wurde nicht gefunden. Wenn der Schlüsseltresor gelöscht wurde:
  1. Ja, wenn Sie sich noch innerhalb des Zeitraums für den Schutz vor dem endgültigen Löschen befinden, können Sie die Schritte unter Wiederherstellen eines Schlüsseltresors ausführen.
  2. Nein, wenn der Zeitraum für den Schutz vor dem endgültigen Löschen abgelaufen ist.

Andernfalls ja: Wenn der Schlüsseltresor zu einem anderen Mandanten migriert wurde, kann er mit einem der folgenden Schritte wiederhergestellt werden:
  1. Stellen Sie den Schlüsseltresor im alten Mandanten wieder her.
  2. Legen Sie Identity = None fest, und setzen Sie dann den Wert auf Identity = SystemAssigned zurück. Dadurch wird die Identität gelöscht und neu erstellt, sobald die neue Identität erstellt wurde. Gewähren Sie der neuen Identität in der Zugriffsrichtlinie des Schlüsseltresors die Berechtigungen Get, Wrap und Unwrap.

Nächste Schritte